Die Grundsätze der Datenverarbeitung

Die in Art. 5 Abs. 1 DSGVO geregelten Grundsätze bilden das Fundament für die Verarbeitung von personenbezogenen Daten. Sie dienen insbesondere dem besseren Verständnis von Regelungen der DSGVO. Es gelten die folgenden Grundsätze:

Rechtmäßigkeit

Die Verarbeitung personenbezogener Daten ist rechtmäßig, wenn eine Einwilligung des Betroffenen (Art. 6 Abs. 1 S. 1 lit. a) DSGVO) oder eine gesetzliche Erlaubnis (Art. 6 Abs. 1 S. 1 lit. b) bis f) DSGVO) vorliegt. Wann eine Einwilligung oder gesetzliche Erlaubnis vorliegt, erfahren Sie in unserer Zusammenfassung.

Transparenz

Es muss für den Betroffenen immer ersichtlich sein, für welchen Zweck seine personenbezogenen Daten verarbeitet werden. Eine „heimliche“ Verarbeitung ist unzulässig.

Zweckbindung

Bei der Verarbeitung personenbezogener Daten muss der Zweck der Verarbeitung vor der Erhebung der Daten festgelegt werden. Stellen Sie sich also immer die Frage, wofür konkret Sie die von Ihnen erhobenen Daten verarbeiten wollen. Eine nachträgliche Änderung des Zwecks ist grundsätzlich nicht zulässig. Sie müssen also stets gewährleisten, dass keine zweckentfremdete Verarbeitung der von Ihnen erhobenen Daten stattfindet.
Beispiel: Zweckwidrig und damit unzulässig ist der Versand von Ostermailings mit Gutschein-Code an einen Kunden, der ausschließlich in den Erhalt von Weihnachtsmailings eingewilligt hat. Ebenfalls unzulässig ist die vage Formulierung „für Werbemaßnahmen jeglicher Art“ – hier muss zwingend eine Präzisierung erfolgen. Wenn Sie Kunden-Fotos mit deren Einwilligung auf Ihrer Homepage hochladen, dürfen Sie diese daneben nicht ohne weiteres auf sozialen Medien (z. B. Facebook, Twitter, Instagram) posten etc.
Ferner ist der Zweck maßgebend für die Speicherdauer. Wenn er entfällt, sind Sie verpflichtet, die personenbezogenen Daten zu löschen (Ausnahme: gesetzliche Aufbewahrungspflichten, siehe unter Speicherbegrenzung).

Datenminimierung/-sparsamkeit

Bei der Datenverarbeitung dürfen nur so viele personenbezogene Daten gesammelt werden, wie für den jeweiligen Verarbeitungszweck unbedingt notwendig sind. Es gilt der Grundsatz: „So viele Daten wie nötig, so wenige Daten wie möglich.“ Dadurch soll der Betroffene vor einer übermäßigen Preisgabe personenbezogener Daten geschützt werden.
Beispiel: Geburtstagslisten im Unternehmen ohne Geburtsjahr, keine Abfrage der Postanschrift für elektronischen Newsletter-Versand.

Richtigkeit

Personenbezogene Daten müssen richtig und aktuell sein sowie aus zuverlässigen Quellen stammen. Unrichtige oder veraltete Daten müssen unmittelbar gelöscht oder korrigiert werden.

Speicherbegrenzung (Löschung/Sperrung)

Werden personenbezogene Daten nicht mehr benötigt, müssen sie gelöscht werden, es sei denn, der Löschung stehen gesetzliche Aufbewahrungspflichten (insbesondere im Handels- und Steuerrecht) entgegen. Solange die Aufbewahrungsfrist läuft, werden die Daten zwar nicht gelöscht, aber für eine weitere Nutzung durch den Verantwortlichen gesperrt.

Beispiel

  • Meldet sich ein Kunde von Ihrem Newsletter ab, müssen Sie seine E-Mail-Adresse umgehend löschen
  • Nach Beendigung einer Geschäftsbeziehung dürfen Sie empfangene Geschäftsbriefe nicht unmittelbar vernichten, sondern müssen Sie aus steuerrechtlichen Gründen grundsätzlich sechs Jahre lang aufbewahren
Es gilt der Grundsatz „Gelöschte Daten sind die sichersten Daten“. Die Speicherfrist muss auf das unbedingt erforderliche Mindestmaß beschränkt werden. Überprüfen Sie daher regelmäßig die von Ihnen gespeicherten Datenbestände. Um sicher zu stellen, dass die gesetzlichen Löschfristen eingehalten werden, empfiehlt sich beispielsweise die Erstellung eines Löschkonzepts. Soweit Daten über einen längeren Zeitraum aufbewahrt werden müssen, sind Sie in der Pflicht, entsprechende Maßnahmen zu treffen, um deren Schutz sicherzustellen (Beispiel: elektronische Archivierung personenbezogener Daten, getrennte Aufbewahrung von Daten, die noch aktiv genutzt werden und solchen, die lediglich zur Erfüllung von Aufbewahrungspflichten gespeichert bleiben).

Integrität und Vertraulichkeit

Personenbezogene Daten müssen sicher und vertraulich behandelt werden. Insbesondere dürfen Unbefugte keinen Zugang zu ihnen haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.

Rechenschaftspflicht (Dokumentation)

Ihr Unternehmen muss gegenüber Aufsichtsbehörden nachweisen können, alle Vorgaben der DSGVO einzuhalten. Aus diesem Grund müssen Sie die von Ihnen getroffenen rechtlichen, technischen und organisatorische Maßnahmen zur Sicherstellung des Datenschutzes genauestens dokumentieren. Dokumentation heißt, dass Sie entsprechende Dokumente, Belege und sonstige Materialien in schriftlicher oder elektronischer Form systematisch aufbewahren und archivieren, damit Sie diese im Ernstfall unverzüglich griffbereit haben. Zu diesen Dokumentationspflichten gehört beispielsweise auch das Führen eines Verarbeitungsverzeichnisses (PDF) gemäß Art. 30 DSGVO.